동향 리포트/년간 동향 리포트

2022년 상반기 랜섬웨어 동향 보고서

알 수 없는 사용자 2022. 7. 15. 16:52

1. 랜섬웨어 통계

2022년 상반기(1월 1일 ~ 6월 30일) 동안 잉카인터넷 대응팀은 랜섬웨어 신•변종 현황을 조사하였으며, 하반기에 발견된 신•변종 랜섬웨어의 건수는 [그림 1]과 같다. 상반기에는 월 평균 23건의 랜섬웨어가 발견됐으며 이 중, 신종과 변종 랜섬웨어는 각각 2월과 3월에 가장 많이 발견됐다.

 

[그림 1] 2022년 상반기 월별 신•변종 랜섬웨어 비교

 

2022년 상반기(1월 1일 ~ 6월 30일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고, 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다. 

 

[그림 2] 2022년 상반기 월별 랜섬머니 비교

 

2022년 상반기(1월 1일 ~ 6월 30일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 15%로 가장 많았고, 랜섬머니를 요구하지 않는 경우와 모네로(XMR)를 요구하는 경우는 각각 8%와 1% 비율을 차지했다. 추가로 가장 많은 비율을 차지한 기타 항목에는 랜섬머니 지불을 위해 웹사이트 접속을 유도하거나 공격자의 메일로 연락하도록 하는 방법이 주를 이루며, 이 외에도 공격자가 생성한 디스코드 채팅 방에서 연락을 취하는 방법 등을 포함한다.

 

[그림 3] 2022년 상반기 랜섬머니 통계

 

2022년 상반기(1월 1일 ~ 6월 30일) 동안의 신•변종 랜섬웨어는 아래 표와 같고, 신종은 푸른색, 변종은 붉은색으로 표시했다. 이외에 표시된 색상은 하반기 내 신•변종이 5건 이상인 랜섬웨어이다.

 

[그림 4] 2022년 상반기 월별 신•변종 랜섬웨어

 

2. 신/변종 랜섬웨어 

1월

PyCryptor 랜섬웨어

파일명에 ".CRYPT" 확장자를 추가하고 "README.txt"와 [그림 5]의 랜섬노트를 실행하는 "PyCryptor" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버에 연결을 시도한다.

 

[그림 5] PyCryptor 랜섬웨어 랜섬노트

 

SFile 랜섬웨어

파일명에 ".XML.AFR-6fyvilv" 확장자를 추가하고 "readme_to AFR.log.txt"라는 랜섬노트를 생성하는 "SFile" 랜섬웨어의 변종이 발견됐다.

 

[그림 6] SFile 랜섬웨어 랜섬노트

 

EvilCrypt 랜섬웨어

파일명에 "-Locked" 확장자를 추가하고 [그림 7]의 랜섬노트를 실행하는 "EvilCrypt" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자를 무력화시킨다.

 

[그림 7] EvilCrypt 랜섬웨어 랜섬노트

 

Exploit 랜섬웨어

파일명에 “.exploit" 확장자를 추가하고 "RECOVERY INFORMATION.txt"라는 랜섬노트를 생성하는 "Exploit" 랜섬웨어가 발견됐다.

 

[그림 8] Exploit 랜섬웨어 랜섬노트

 

2월

Venom 랜섬웨어

파일명에 ".V3NOM" 확장자를 추가하고 "VenomD3crypt0r.exe"라는 랜섬노트를 실행하는 "Venom" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 공격자의 C&C 서버로 연결을 시도하고, [그림 10]과 같이 바탕화면의 배경을 변경한다.

 

[그림 9] Venom 랜섬웨어 랜섬노트

 

[그림 10] Venom 랜섬웨어 배경화면

 

Scorpio 랜섬웨어

파일명에 ".확장자[ID=사용자 ID-Mail=공격자 메일].L2av" 확장자를 추가하고 [그림 11]의 랜섬노트를 생성하는 "Scorpio" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 특정 프로세스의 실행을 차단한다. 또한, 자동 실행을 위해 작업 스케줄러와 레지스트리에 등록한다.

 

[그림 11] Scorpio 랜섬웨어 랜섬노트

 

LockDown 랜섬웨어

파일명에 ".cantopen" 확장자를 추가하고 "HELP_DECRYPT_YOUR_FILES.txt"라는 랜섬노트를 생성하는 "LockDown" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다.

 

[그림 12] LockDown 랜섬웨어 랜섬노트

 

TargetCompany 랜섬웨어

파일명에 ".consultransom" 확장자를 추가하고 “RECOVERY INFORMATION.txt"라는 랜섬노트를 생성하는 "TargetCompany" 랜섬웨어가 발견됐다.

 

[그림 13] TargetCompany 랜섬웨어 랜섬노트

 

3월

Encry 랜섬웨어

파일명에 ".[공격자 메일].encryptedJB" 확장자를 추가하고 "read_me.html"라는 랜섬노트를 생성하는 "Encry" 랜섬웨어가 발견됐다.

 

[그림 14] Encry 랜섬웨어 랜섬노트

 

Pandora 랜섬웨어

파일명에 ".pandora" 확장자를 추가하고 "Restore_My_Files.txt"라는 랜섬노트를 생성하는 "Pandora" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템의 복원을 무력화한다.

 

[그림 15] Pandora 랜섬웨어 랜섬노트

 

Acepy 랜섬웨어

파일명에 ".acepy" 확장자를 추가하고 "[샘플 파일].exe"라는 랜섬노트를 실행하는 "Acepy" 랜섬웨어가 발견됐다.

 

[그림 16] Acepy 랜섬웨어 랜섬노트

 

AntiWar 랜섬웨어

파일명에 ".putinwillburninhell" 확장자를 추가하고 "RUSSKIJ VOENNIJ KORABL IDI NAHUJ.html"라는 랜섬노트를 생성하는 "AntiWar" 랜섬웨어가 발견됐다.

 

[그림 17] AntiWar 랜섬웨어 랜섬노트

 

GoodWill 랜섬웨어

파일명에 ".dgwill" 확장자를 추가하고 "index.html"라는 랜섬노트를 생성하는 "GoodWill" 랜섬웨어가 발견됐다.

 

[그림 18] GoodWill 랜섬웨어 바탕화면

 

4월

Vovabol 랜섬웨어

확장자를 변경하지 않고 "INSTRUCTIONS.txt"라는 랜섬노트를 생성하는 "Vovabol" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스 실행을 차단하고, 공격자의 C&C 서버에 연결을 시도한다. 또한, [그림 20]과 같이 바탕화면의 배경을 변경한다.

 

[그림 19] Vovabol 랜섬웨어 랜섬노트

 

[그림 20] Vovabol 랜섬웨어 배경화면

 

NB65 랜섬웨어

파일명에 “.NB65” 확장자를 추가하고 “R3ADM3.txt”라는 랜섬노트를 생성하는 “NB65” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 21] NB65 랜섬웨어 랜섬노트

 

Blaze 랜섬웨어

파일명에 “.blaze” 확장자를 추가하고 “How To Decrypt.txt”라는 랜섬노트를 생성하는 “Blaze” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 22] Blaze 랜섬웨어 랜섬노트

 

Trins 랜섬웨어

파일명에 ".trins" 확장자를 추가하고 "RECOVERY.txt"라는 랜섬노트를 생성하는 "Trins" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 특정 프로세스의 실행을 차단한다.

 

[그림 23] Trins 랜섬웨어 랜섬노트

 

5월

ONYX 랜섬웨어

파일명에 “.ampkcz" 확장자를 추가하고 “readme.txt”라는 랜섬노트를 생성하는 "ONYX" 랜섬웨어가 발견됐다.

 

[그림 24] ONYX 랜섬웨어 랜섬노트

 

Royal25 랜섬웨어

파일명에 ".[랜덤 문자열]" 확장자를 추가하고 “=_THIS_TO_FIX_SUTa.html”이라는 랜섬노트를 생성하는 "Royal25" 랜섬웨어가 발견됐다. 

 

[그림 25] Royal25 랜섬웨어 랜섬노트

 

AvosLocker 랜섬웨어

파일명에 ".avos2" 확장자를 추가하고 "GET_YOUR_FILES_BACK.txt"라는 랜섬노트를 생성하는 "AvosLocker" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 26] AvosLocker 랜섬웨어 랜섬노트

 

Sojusz 랜섬웨어

파일명에 ".[사용자 ID].[spanielearslook].likeoldboobs" 확장자를 추가하고 "Horse.txt"라는 랜섬노트를 생성하는 "Sojusz" 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 27] Sojusz 랜섬웨어 랜섬노트

 

SolidBit 랜섬웨어

파일명에 ".solidbit" 확장자를 추가하고 "RESTORE-MY-FILES.txt"라는 랜섬노트를 생성하는 "SolidBit" 랜섬웨어가 발견됐다.

 

[그림 28] SolidBit 랜섬웨어 랜섬노트

 

6월

PoliceRecords 랜섬웨어

파일명에 ".CRYPT" 확장자를 추가하고 "FAQ.txt"라는 랜섬노트를 생성하고, [그림 30]의 랜섬노트를 실행"PoliceRecords" 랜섬웨어가 발견됐다.

 

[그림 29] PoliceRecords 랜섬웨어 랜섬노트 1

 

[그림 30] PoliceRecords 랜섬웨어 랜섬노트 2

 

HelloXD 랜섬웨어

파일명에 “.hello" 확장자를 추가하고 "Hello.txt"라는 랜섬노트를 생성하는 "HelloXD" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다.

 

[그림 31] HelloXD 랜섬웨어 랜섬노트

 

Hakbit 랜섬웨어

파일명에 ".cmblabs" 확장자를 추가하고 "DECRYPT_INFO.txt"라는 랜섬노트를 생성하는 "Hakbit" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 특정 프로세스 실행을 차단하고, 특정 서비스를 종료한다. 또한, 시스템 복원을 무력화한다.

 

[그림 32] Hakbit 랜섬웨어 랜섬노트

 

BlueSky 랜섬웨어

파일명에 ".bluesky" 확장자를 추가하고 "# DECRYPT FILES BLUESKY #.txt" 및 “# DECRYPT FILES BLUESKY #.html”이라는 랜섬노트를 생성하는 "BlueSky" 랜섬웨어가 발견됐다.

 

[그림 33] BlueSky 랜섬웨어 랜섬노트 1

 

[그림 34] BlueSky 랜섬웨어 랜섬노트 2